Jump to content
  • 2

3.9: перестало работать подключение к L2TP/IPsec-серверу


Serg54
 Share

Question

На 3.9b0, а так же на более ранних (3.9a8-9) перестал работать туннель L2TP/IPsec. На 3.9a7 всё работает прекрасно.

 

  • Thanks 1
Link to comment
Share on other sites

23 answers to this question

Recommended Posts

  • 0

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Edited by keenet07
Link to comment
Share on other sites

  • 0

Ошибка там возникает что мол ssl сертификат не совпадает с именем. Типа сертификат на мой домен не совпадает с именем моего домена. Что конечно же не правда. А как только откатываешься на старую версию то сертификат ему уже нравится.

Link to comment
Share on other sites

  • 0
В 19.09.2022 в 10:44, keenet07 сказал:

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Кстати опробовал. И да действительно помогло. Причём на старой прошивке (3.05) данный компонент если включить то возникает проблема. А если он выключен то работает, а на новой прошивке в точности на оборот. Отключенный компонент создаёт проблему с впн, а включенный решает проблему.

  • Upvote 1
Link to comment
Share on other sites

  • 0

Но зато связь между двумя кинетиками перестала работать. Первый кинетик это экстра, второй это гига 3. Экстра пытается подключится к гиге и падает с ошибкой. Так, что версия ОС 3.9 (альфа, а теперь уже пишет что она бета) для гиге не подходит.

Edited by Andrei_Ch
Link to comment
Share on other sites

  • 0

Та же проблема, KN-1010, режим L2TP/IPSec сервера - "для устаревших VPN-клиентов", до 3.9.а8 всё было нормально. Клиенты с Win10 и Android. Лог прилагаю, ip скрыл:

[I] Sep 24 09:26:39 ndm: Core::Syslog: the system log has been cleared. 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received FRAGMENTATION vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] *.*.*.* is initiating a Main Mode IKE_SA 
[I] Sep 24 09:26:41 ipsec: 14[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Sep 24 09:26:41 ipsec: 14[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF [...]
[I] Sep 24 09:26:41 ipsec: 14[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Sep 24 09:26:41 ipsec: 14[IKE] sending DPD vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] sending FRAGMENTATION vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Sep 24 09:26:42 ipsec: 04[IKE] remote host is behind NAT 
[I] Sep 24 09:26:42 ipsec: 04[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Sep 24 09:26:42 ipsec: 04[IKE] no shared key found for '%any'[*.*.*.*] - '%any'[*.*.*.*] 
[I] Sep 24 09:26:42 ipsec: 04[IKE] no shared key found for *.*.*.* - *.*.*.* 
 

Link to comment
Share on other sites

  • 0

Роутер Keenetic Peak, прошивка 3.9 Beta 0.6. При подключении по VPN-сервер IKEv1/IPsec канал открывается, но клиент имеет доступ только к самому роутеру. Нет выхода в интернет. Галочка NAT для клиентов установлена. VPN-сервер L2TP/IPsec работает штатно.

Никто не подскажет где засада? Спасибо.

При этом на роутере Keenetic Ultra KN-1810 с тем же софтом все работает.

Link to comment
Share on other sites

  • 0
В 03.10.2022 в 11:13, Eric750 сказал:

Роутер Keenetic Peak, прошивка 3.9 Beta 0.6. При подключении по VPN-сервер IKEv1/IPsec канал открывается, но клиент имеет доступ только к самому роутеру. Нет выхода в интернет. Галочка NAT для клиентов установлена. VPN-сервер L2TP/IPsec работает штатно.

Никто не подскажет где засада? Спасибо.

При этом на роутере Keenetic Ultra KN-1810 с тем же софтом все работает.

Будет поправлено в следующей версии 3.09.

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 19.09.2022 в 10:44, keenet07 сказал:

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Ну кстати, пока держится соединение более 4 часов уже, понаблюдаю до вечера. Надеюсь, поможет этот способ. В моём варианте это L2TP/IPsec клиент на Кинетике (3.9 Beta 2) и сервер на Kerio Control (9.4.2 build 7285)

Link to comment
Share on other sites

  • 0
В 19.09.2022 в 10:44, keenet07 сказал:

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Чувак, безмерно благодарен тебе, соединение не рвётся вот уже 6 часов к ряду!!!

  • Thanks 1
Link to comment
Share on other sites

  • 0
4 минуты назад, Deadlock сказал:

Чувак, безмерно благодарен тебе, соединение не рвётся вот уже 6 часов к ряду!!!

Рвалось то на 3.9b2? Или более ранних? Может быть в последней бете поправлено. Или точно компонент IPv6 помог?

Link to comment
Share on other sites

  • 0
17 минут назад, keenet07 сказал:

Рвалось то на 3.9b2? Или более ранних? Может быть в последней бете поправлено. Или точно компонент IPv6 помог?

Работало замечательно на моей памяти с 3.5 и до 3.7 точно. потом надобность отпала. Вновь подключение настроил на последнем билде 3.8, часа три четыре поробит и в аут. С переходом на 3.9 пляски конкретные начались, то 30 минут, то 45, то 60. На L2TP интерфейсе менял в меньшую сторону lifetime обоих фаз и ставил одинаково по спецификации Kerio Control, не помогло никак. И не мог зацепиться, кто виновен. Выкл/вкл что на сервере, что на клиенте возвращал к жизни коннект. Получается, что есть взаимосвязь програмная и да, считаю... (пока считаю, сутки пусть пройдут хотя бы), что компонент IPv6 помог. Хотелось от гуру получить коммент по этому поводу, да и успокоится.

Link to comment
Share on other sites

  • 0

У меня на всех версиях до 3.9 держалось не более 3-4 часов и отваливалось.

В связи с этим пришлось ррртр юзать

Link to comment
Share on other sites

  • 0

Также проблема с керио была и на более ранних версиях ПО. Попробую сегодня установить компонент IPv6 и проверить

Link to comment
Share on other sites

  • 0

Тоже в связке Keenetic Giga (Клиент) + Kerio Control (Сервер) в режиме l2tp/ipsec были обрывы каждые 20-40 минут, но автоматом соединение восстанавливалось и для моих целей это не было критичным, так было наверное с 3.8.5. После обновления до 3.9 Beta 2, соединение перестало само восстанавливаться, пишет что не готово, ручное отключение/включение приводит к восстановлению связи до следующего обрыва.

 

Попробую ipV6 установить, не понимаю как это может повлиятить, но проверить не долго)

Edited by Yuhter
Link to comment
Share on other sites

  • 0
15 минут назад, Yuhter сказал:

Попробую ipV6 установить, не понимаю как это может повлиятить, но проверить не долго)

Аналогичная конфигурация и те-же проблемы. Только 3.9 beta 2 пока нет возможности проверить. Но ipv6 стоял всегда.

Link to comment
Share on other sites

  • 0

Ситуация со стабильностью работы VPN в 3.9.0 похоже не исправлена.

 

Поставил 3.9.0 на Peak (сервер) и Hero 4G (клиент).

Через (примерно) 7-8 часов работы, VPN разорвался и не восстановился.

На Peak откатил версию на 3.8 alpha5 (на ней до этого все работало, правда не стабильно, но хоть восстанавливалось)

Через (примерно) 24 часа VPN разорвался и не восстановился.

Откатил на Hero 3.8 alpha5

Edited by hellonow
лог
  • Need more info 1
Link to comment
Share on other sites

  • 0

@andrey_sys лог пожалуйста так не выкладывайте в тему, либо сюда https://pastebin.com, а еще лучше делать так https://forum.keenetic.com/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/ 

  • Thanks 1
Link to comment
Share on other sites

  • 0

Ну вобщем установка IPv6 не помогла. Но интересно, то что, на 3.8.5 соединение держалось 20-40 минут и падало, после чего само восстанавливалось. А на 3.9 Beta 2 держится по 2-4 часа, потом падает, но уже не восстанавливается. Надо логи ковырять, но при первом рассмотрении нифига там непонятно, очень много событий интерфейсов сыпит.

Сейчас до 3.9 обновлился, посмотри будут ли какие-то изменения.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...